Chapitre III

Les services annuaires

Dr.Hafs T.
 PLAN
• Les différents services annuaires
• Domain Name System (DNS)
• Dynamic Host Configuration Protocol (DHCP)
et Gestion des adresses IP avec DHCP
• Lightweight Directory Access Protocol (LDAP).
Configuration.
Les différents services annuaires
• UN ANNUAIRE : Définition
L’annuaire est une sorte de base de données permettant de
retrouver facilement des personnes ou des ressources
(imprimantes, ordinateurs, applications…)

Rôle d’une ANNUAIRE :

- Les annuaires électroniques servent à localiser n’importe quoi
et on pourra y trouver tout confondu , des personnes, des
groupes de personnes,des ordinateurs, des sites webs, des
applications
- Toute chose dont un utilisateur peut vouloir consulter de
l’information.
 Généralités
Un annuaire est un référentiel partagé

de personnes et de ressources, dont la

vocation est de les localiser à l’aide

de fonctions élaborées de navigation

et de recherche et d’offrir des

mécanismes de sécurité pour

protéger des informations et y

accéder.
 Généralités
Il existe plusieurs types d’annuaire :
• X.500 : normes définies par l’UIT-T
• Active Directory : développé par Microsoft pour
Windows
• NIS : Network Information Service, développé par
SUN
• LDAP : protocole reposant sur TCP/IP
 ANNUAIRE : Spécificités
• On peut dire qu’un annuaire est une base de données
(puisqu’il stocke des données) mais par contre une base de
données n’est pas forcément un annuaire.
• Un annuaire n’est pas fait pour gérer des transactions
complexes
• un annuaire gère les données de manière hiérarchique

Université

Fac A Fac B

Dpt 1 Dpt 2 Dpt 3

 ANNUAIRE : Spécificités
En résumé :

• Un annuaire est donc un progiciel stockant des données dans une

base de données et proposant des services spécifiques pour
répondre aux besoins de localisation de ressources, de navigation,
de recherche, de gestion des habilitations et d’intéropérabilité.
 Résolution de noms
Présentation
 Un ordinateur connecté à Internet possède une adresse unique,
son numéro IP ; pour s'adresser à cet ordinateur, il faudrait
utiliser son numéro IP, par exemple : 212.27.37.71.
 On préfère lui attribuer un nom plus facile à retenir, par
exemple www.google.fr [IP: 209.85229.105]
www.machin.com ?

Résolution de noms

210.132.14.153
 Résolution de noms
objectif
 Le but de la résolution des noms sur un réseau est
d’assurer la conversion entre les noms d’hôtes et les adresses
ip.

machine.domaine.xz

inverse
résolution

192.127.10.2
 Résolution de noms
DNS

 Connectés au réseau Internet, des ordinateurs disposent de

tables établissant la correspondance entre un n°IP et un nom :
ce sont des serveurs DNS.
 Un client adresse au serveur une requête DNS à laquelle il
répondra.
www.cisco.com ?
Client Serveur DNS

table n°/nom
198.133.219.25
 Résolution de noms
DNS

 Protocole fondamental d'Internet, DNS utilise une base de

données répartie : les correspondances nom - n°IP sont
enregistrées dans différents serveurs.
 La requête d'un client est soumise à un premier serveur ; si
elle ne peut être traitée par le premier serveur contacté, elle est
transmise par ce serveur à un autre serveur.
 La réponse sera apportée directement par ce dernier au client.
 Les noms de domaine
Un nom de domaine est est la séquence de labels depuis le noeud
de l’arbre correspondant jusqu’à la racine
.

fr

upec

m1

Deux noeuds fils ne peuvent avoir le même nom ==> unicité d’un nom
de domaine au niveau mondial
 Résolution de noms
Exemple

http://www.u-pec.fr

Domaine français

Sous domaine u-pec

Machine ‘www’ du sous domaine u-pec

IP: 193.48.28.14
 Résolution de noms

 Base de données distribuée au niveau mondial

 INTERNic => Pour enregistrer son nom de domaine

Domaine complet
fr
Domaine fr
Un domaine est un sous-arbre
de l’espace nom de centralweb Domaine centralweb
domaine
inria

m1 noeud m1.centralweb.fr

Des noeuds peuvent avoir les

mêmes noms dans des domaines
différents :
ns.centralweb.fr et ns.renault.fr
 Résolution de noms
Top Level Domain

 7 domaines racines prédéfinis :

 com : organisations commerciales ; ibm.com
 edu : organisations concernant l’education ; mit.edu
 gov : organisations gouvernementales ; nsf.gov
 mil : organisations militaires ; army.mil
 net : organisations réseau Internet ; worldnet.net
 org : organisations non commerciales ; eff.org
 int : organisations internationales ; nato.int
 Organisations nationales : fr, uk, de, it, us, au, ca, se,
etc.
 Résolution de noms
Principe

DNS Serveur DNS

www.machin.com?
DNS
Serveur DNS

DNS
Serveur DNS

Serveur Racine
 Résolution de noms
Serveurs de noms (name servers)

 Un serveur de noms enregistre les données propres à

une partie de l’espace nom de domaine dans une
zone.
• Serveurs de noms primaires
• Serveurs de noms secondaires

c fr
a

bc ab on q domaine
b
zone
 Les grands types d’attaques visant le DNS et les
noms de domaine

1 – Attaques ne visant pas directement le DNS

- Le cybersquatting

- Le « détournement » ou le vol
 Les grands types d’attaques visant le DNS et les
noms de domaine

1 – Attaques visant directement le DNS

- L’empoisonnement

- Le déni de service

- La réflexion

- Le Fast flux
 Les principales techniques de
sécurisation
1 – Assurer la meilleure redondance possible, de manière à ce qu’un serveur
affecté par une attaque puisse être remplacé en toute transparence par d’autres
serveurs disposant des mêmes informations mais situés sur d’autres réseaux

2- veiller à utiliser des versions à jour des logiciels DNS, afin de ne pas être
vulnérable à des attaques portant sur des failles de sécurité déjà bien identifiées ;

3- assurer une surveillance régulière de ses serveurs et de leur configuration, de

préférence depuis plusieurs points de l’Internet.

4-envisager de déployer DNSSEC, protocole de

sécurisation du DNS par l’authentification des
serveurs, ce système limitant notamment les attaques
par empoisonnement.
 DHCP
Adressage Statique
O Avantages :
O Maîtrise des Paramètres
O Configuration Opérationnelle au démarrage
O Inconvénients
O Nombres de postes sur le réseau
O Erreurs de Saisie
O Conflits d'adresses IP
O Changements de configuration
 DHCP
Adressage Dynamique

O Obtention automatique
d'une IP et des paramètres
associés
O Facilité d'ajout de postes
dans le réseau
O Reconfiguration
automatique
 DHCP
Dynamic Host Configuration Protocol Attribution dynamique d'adresses IP

O Inconvénient des adresses IP statiques :

O "Gaspillage" d'adresses
O Rigidité
O Configuration personnalisée

O La solution : DHCP
O DHCP signifie Dynamic Host Configuration Protocol. Il s'agit d'un
protocole qui permet à un ordinateur qui se connecte sur un réseau
d'obtenir dynamiquement (c'est-à-dire sans intervention particulière)
sa configuration (principalement, sa configuration réseau). Vous
n'avez qu'à spécifier à l'ordinateur de se trouver une adresse IP tout
seul par DHCP. Le but principal étant la simplification de
l'administration d'un réseau.
 DHCP
Fonctionnement

broadcast
Adresse
172.24.56.13
OKIPpour
@ = 172.24.56.13
IP,
172.24.56.13
svp
, ça! va ?

+ masque
Client DHCP + passerelle
+ DNS
+ Bail
 DHCP
La notion de "bail"

O But : ne pas monopoliser une adresse

O Principe
Attribution d'une adresse par S1
T1
Demande de renouvellement vers S1
Durée totale d'allocation Demande de renouvellement vers S1

T2
Demande de renouvellement vers un serveur DHCP
Demande de renouvellement vers un serveur DHCP
 DHCP
Présentation

O Protocole Client / Serveur

O Port UDP 67 (Serveur)
O Port UDP 68 (Client)
O Communique à l'aide de Broadcast

bisgambiglia@univ-corse.fr Réseaux 27
 DHCP
Présentation

O L'attribution d'une adresse à un nouveau poste

nécessite l'envoi de 4 messages :

O DHCPDiscover
O DHCPOffer
O DHCPRequest
O DHCPAck

bisgambiglia@univ-corse.fr Réseaux 28
 DHCP
DHCPDiscover

O Message émis par le client

O Demande de Bail
O Fonctionnalités IP réduites sur le poste client :
O Adresse IP : 0.0.0.0
O Ne connaît pas l'adresse du serveur DHCP
O Recherche d'un serveur DHCP
O Trame émise en Broadcasting

bisgambiglia@univ-corse.fr Réseaux 29
 DHCP
DHCPOffer

O Message émis par le(s) serveur(s) DHCP

O Tous les serveurs ayant reçus la trame
DHCPDiscover et disposant d'une adresse IP libre
répondent.
O Proposition d'une adresse IP
O Trame émise vers l'adresse MAC du poste client

bisgambiglia@univ-corse.fr Réseaux 30
 DHCP
DHCPRequest

O Message émis par le client

O Sélection de Bail IP
O Le client choisit une offre parmi celles
réceptionnées (DHCPOffer)
O Trame émise en Broadcasting
O Le client envoie une copie à tous les serveurs
DHCP présents

bisgambiglia@univ-corse.fr Réseaux 31
 DHCP
DHCPAck
O Message émis par le Serveur DHCP retenu par le
client
O Confirmation de Bail IP
O Le serveur envoi alors toutes les infos de
configuration au poste (IP, masque, Passerelle,
DNS , …)
O Le client pourra utiliser ces paramètres dès
réception
O Trame émise vers l'adresse MAC du poste
O Souvent suivi d'une requête ARP du client qui valide
ainsi le couple MAC/IP
bisgambiglia@univ-corse.fr Réseaux 32
 DHCP
Les Messages DHCP

O DHCPDiscover : Demande de Bail, Recherche du

Serveur DHCP
O DHCPOffer : Offre IP des Serveurs
O DHCPRequest : Sélection du Bail IP (et du serveur
DHCP) par le client
O DHCPAck : Attribution définitive des paramètres IP
au poste

bisgambiglia@univ-corse.fr Réseaux 33
 DHCP
Les Messages DHCP

O DHCPNack : Réponse négative à une requête

DHCPRequest
O DHCPRelease : Libération de l'adresse IP par le
Client
O DHCPDecline : Message émis par le client pour
signaler une adresse IP invalide

bisgambiglia@univ-corse.fr Réseaux 34
 DHCP
Configuration Client

O Configuration par défaut du protocole IP

O Obtention d'une adresse IP Dynamique
O Remarque :
O L'IP peut être dynamique, mais les autres
paramètres (Adresses DNS, passerelle,
WINS) peuvent être statiques

bisgambiglia@univ-corse.fr Réseaux 35
 DHCP
Exclusions d'adresses

O Précise une liste d'adresses comprise

dans l'étendue qui ne doivent pas être
distribuées
O En règle général ces adresses sont
utilisées de manière statique sur des
machines nécessitant des IP fixes :
O Serveurs
O Imprimantes
O Routeurs
O ….
bisgambiglia@univ-corse.fr Réseaux 36
 DHCP
Durée du Bail
O Les adresses IP ne sont pas attribuées de façon
définitive au poste
O Si le nombre de postes potentiellement
demandeurs est supérieur au nombre d'IP
disponible, la durée du Bail doit être très
courte
O Si le nombre d'adresses IP disponibles est
supérieur au nombre de poste du réseau, la
durée du Bail peut-être illimitée
O La valeur est généralement exprimée en
secondes
bisgambiglia@univ-corse.fr Réseaux 37
 DHCP
Options d'étendues

O En complément de l'adresse IP et du masque

associé, le serveur DHCP peut aussi envoyé aux
postes des paramètres supplémentaires
O Ces options peuvent être associées au serveur, à
une ou plusieurs étendues mais aussi à une
adresse IP réservée
O Elles peuvent être modifiées à tout moment
mais ne sont effectives qu'à l'attribution ou au
renouvellement de l'adresse par le poste.
O Elles sont normalisées par des codes
 L’annuaire LDAP

LDAP → Lightweight Directory Access Protocol

• Héritier de l’annuaire X500 (proposé par l’ISO)
standard conçu par les opérateurs télécom pour interconnecter
leurs annuaires téléphoniques
• X500 adapté à l’internet → LDAP (même modèle de schéma,. . . )
LDAP a été proposé en 1995 :
• Standard d’annuaire au dessus de TCP/IP
• Le protocole ne concerne pas le contrôle d’accès aux données de
l’annuaire
 L’annuaire LDAP
Objectifs
• Fournir aux utilisateurs des informations fiables,
facilement accessibles.
• Permettre aux utilisateurs de mettre à jour eux-mêmes
leurs informations personnelles.
• Rendre les informations accessibles de façon contrôlée
• Eviter la redondance d’informations : un seul annuaire
pour l’ensemble des services.
• Faciliter la gestion (administration) des postes de travail,
des équipements réseaux.
 L’annuaire LDAP
LDAP est un protocole d'annuaire standard et extensible.
Il fournit : le protocole permettant d'accéder à l'information contenue dans l'annuaire.
•un modèle d'information définissant le type de données contenues dans l'annuaire.
•un modèle de nommage définissant comment l'information est organisée et
référencée.
•un modèle fonctionnel qui définit comment on accède à l'information.
•un modèle de sécurité qui définit comment données et accès sont protégés.
•un modèle de duplication qui définit comment la base est répartie entre serveurs,
•des APIs pour développer des applications clientes.
•LDIF, un format d'échange de données.
 Le standard LDAP

 Le protocole d’échange d’informations

 La nature des données : 4 modèles
 Les interfaces : LDIF

Serveur LDAP
Client LDAP

LDIF
Application cliente Protocole Les 4 modèles

d’échange
 Protocole LDAP
Le protocole définit :
 Comment s’établit la communication client-serveur :
→ commandes pour se connecter ou se déconnecter, pour
rechercher, comparer, créer, modifier ou effacer des entrées.
 Comment s’établit la communication serveur-serveur :
→ échanger leur contenu et le synchroniser (réplication
service)
→ créer des liens permettant de relier des annuaires les uns
aux autres (referral service).
 Le format de transport de données :
→ pas l’ASCII (comme pour HTTP, SMTP. . . ) mais le
Basic Encoding Rules (BER)
 Le modèle d’information
Le modèle d’information définit le type des données
pouvant être stockées dans l’annuaire
- Ces informations sont représentées sous la forme
d’attributs décrivant les caractéristiques de l’objet.
- Toute sorte de classe d’objet (réel ou abstrait)
peut être représentée.
- Le schéma de l’annuaire définit la liste des
classes d’objets qu’il connaît.
 Le modèle d’information

- Le schéma décrit les classes d’objets, leurs types

d’attribut et leurs syntaxes.
- Chaque entrée de l’annuaire fait obligatoirement
référence à une classe d’objet du schéma et ne doit
contenir que des attributs qui sont rattachés au type
d’objet en question.
 Le modèle d’information

- Un attribut est défini par :

• un nom, un identifiant unique (OID), mono/multi valué,
une syntaxe et des règles de comparaison (matching
rules), une valeur (format+taille limite), modifiable ou
non
- Une classe d’objet est définie par: Un nom, OID, des
attributs obligatoires, des attributs optionnels, un type
(structurel, auxiliaire ou abstrait)
Le modèle d’information
- L’objet inetOrgPerson à la filiation suivante :
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
- L’objet person a comme attributs:commonName,
surname, description, seeAlso, telephoneNumber,
userPassword
- L’objet fils organizationalPerson ajoute des
attributs comme :organizationUnitName, title,
postalAddress. . .
-L’objet petit-fils inetOrgPerson lui rajoute des
attributs comme : mail, labeledURI, photo. . .
 Le modèle de nommage

Structure arborescente contenant deux catégories d’objets :

• les conteneurs : départ d’une nouvelle branche (nœud
intermédiaire de l’arbre)
- peuvent contenir des conteneurs ou des feuilles
-généralement, une sous-organisation de
l’organisation (zone géographique,. . . )
• les feuilles : elles représentent les données (généralement
les machines, les utilisateurs,. . . )
Le modèle de nommage
 Le modèle fonctionnel

Les opérations de base sont résumées dans le tableau suivant. Elles permettent
d'accéder au serveur ou de modifier la structure de l'arbre et/ou les entrées de
l'annuaire
Opération LDAP Description
Search recherche dans l'annuaire d'objets à partir de
critères
Compare comparaison du contenu de deux objets
Add ajout d'une entrée
Modify modification du contenu d'une entrée
Delete suppression d'un objet
Rename (Modify DN) modification du DN d'une entrée
Bind connexion au serveur
Unbind deconnexion
Abandon abandon d'une opération en cours
Extended opérations étendues
 LDIF

LDIF → LDAP Interchange Format

Standard de représentation des entrées sous format
texte.
- Permet de :
- faire des imports/exports de la base ou d’une partie
de la base
- créer, ajouter, modifier, . . . un grand nombre
d’entrées de manière automatisée
 Le modèle duplication

Il définit comment dupliquer l’annuaire sur plusieurs

serveurs.
- améliorer le temps de réponse
- être tolérant aux pannes
Deux types de serveurs LDAP
supplier server: fournit les données
consumer server: reçoit les données du maître
Possibilité de partitionner l’annuaire (éclatement sur
plusieurs serveurs)
Le modèle duplication
 Le modèle sécuritaire

Authentification pour se connecter au service

- Anonymous authentication, Root DN/passwd authentication
(administrateur), User DN/passwd
- Contrôle de l’accès aux données
- droits d’accès aux données (fonctions de l’utilisateur
authentifié)
- règles définies sous forme d’ACL (Access Control List) au niveau
du sommet d’un sous-arbre ou d’une entrée.
- Chiffrement des transactions (LDAP+SSL, . . . )
 Les applications de LDAP

Les applications système

Les applications Intranet/Extranet

Les applications Internet

Les bases de données

 Les logiciels

Les logiciels serveurs

 Active Directory
 Lotus Domino
 Open LDAP

Les logiciels clients

 Microsoft Outlook, NetMeeting
 Netscape Communicator
 LDAP Browser